-
Junior Member
- Вес репутации
- 13
Антивирус детектит вирусы без остановки [Trojan.Script.Miner.a] (заявка № 226206)
В процессе лечения удалился профиль chrome, в котором были сохранены пароли от аккаунта virusinfo и почты, привязанной к нему. Поэтому я вынужден создать новый аккаунт и новую тему (т.к. в старую не дает отписать)
ссылка на старую тему
Сообщение от
thyrex
Что сейчас с проблемой?
Понаблюдал, детекты аваста пропали. Однако после полного сканирования ПК, нашлось 6 файлов, которые были помещены антивирусом в хранилище вирусов. Подскажите, это значит, что мы не долечили, или это остаточные зараженные файлы, которые не вернуться в дальнейшем?
список зараженных файлов
Не понятно, куда удалился профиль браузера. Не похоже на то, что аваст удалил его. Это мы его с вами в процессе лечения удалили? Или последствия заражения?
Так же хотелось бы спросить, было ли в том вирусе шпионское по, стоит ли менять пароли?
Последний раз редактировалось narra-new; 10.01.2021 в 11:50.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) narra-new, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
-
-
Сообщение от
narra-new
Понаблюдал, детекты аваста пропали. Однако после полного сканирования ПК, нашлось 6 файлов, которые были помещены антивирусом в хранилище вирусов. Подскажите, это значит, что мы не долечили, или это остаточные зараженные файлы, которые не вернуться в дальнейшем?
Что попало в карантин антивируса, уже не вернётся, если сами не восстановите. К тому же, судя по скриншоту, был только детект эвристики, возможно, ничего серьёзного.
Сообщение от
narra-new
Не понятно, куда удалился профиль браузера. Не похоже на то, что аваст удалил его. Это мы его с вами в процессе лечения удалили? Или последствия заражения?
В процессе лечения профиль Хрома точно не трогали.
Сообщение от
narra-new
Так же хотелось бы спросить, было ли в том вирусе шпионское по, стоит ли менять пароли?
Детект был только майнера, но периодически менять пароли не мешает.
Отключите временно все экраны Avast.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
-
-
Junior Member
- Вес репутации
- 13
Загрузка через менеджер вложений, на этом аккаунте, по непонятной причине не работает
- - - - -Добавлено - - - - -
https://dropmefiles.com/69Cav
- - - - -Добавлено - - - - -
кликаю скрепку -> добавить файлы -> выберите файл ->выбираю архив -> загрузить и на этом этапе ничего не происходит
-
Дочистим реестр от вируса и мусор.
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
Код:
;uVS v4.11.3 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
delref %SystemDrive%\AUTOEXEC.VBS
delref %SystemRoot%\TEMP\CC20E6A8-1B63-4884-A3DD-3219ACA2F894
delref %SystemRoot%\TEMP\CPUZ148\CPUZ148_X64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.301\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.301\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
apply
restart
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
-
-
Junior Member
- Вес репутации
- 13
Файлы до сих пор не получается прикрепить. залил на хостинг
-
Система не обновляется и крайне уязвима.
Устанавливайте, это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами.
Установите Internet Explorer 11, даже если им не пользуетесь, это критически важный для безопасности компонент Windows.
Архиваторы тоже используются в нехороших целях, обновите:
Дыра в WinRAR более 19 лет угрожала 500 миллионам пользователей.
Уязвимость в WinRAR активно эксплуатируется злоумышленниками.
Java 8 Update 45 (64-bit) v.8.0.450
Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u271-windows-x64.exe)^
Google Chrome v.87.0.4280.88
Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Очистите кеш и cookie в Хроме.
-
-
Junior Member
- Вес репутации
- 13
Спасибо за помощь! Скажите, есть ли риски сломать нелицензионную винду, если установлю все эти хотфиксы?
-
Гарантировать ничего нельзя, и лицензионная, бывает, падает. Но шанс невелик.
-
-
Junior Member
- Вес репутации
- 13
А если у меня никогда не открыты никакие порты, тоже рекомендуете все их ставить?
-
В общем случае да, взломать могут и локально, сами запустите нехорошее приложение.
-
-
Junior Member
- Вес репутации
- 13
Хорошо, спасибо за советы и за помощь! Невероятно выручили